La storia che stiamo per raccontare mostra come le autorità Garanti nazionali, incaricate della applicazione del regolamento in materia di protezione dati personali, debbano impostare in modo appropriato la valutazione e il conseguente calcolo delle sanzioni, a pena di cancellazione delle sanzioni stesse da parte della magistratura giudicante.
Ecco i fatti.
Il 30 ottobre 2019 il Commissario di Berlino per la protezione dei dati e la libertà di informazione ha inflitto alla Deutsche Wohnen SE un’ammenda di circa 14,5 milioni di euro, per violazioni del Regolamento generale sulla protezione dei dati ( GDPR). Questa società gestisce innumerevoli contratti di affitto di beni immobiliari.Pubblicità
Nel corso degli audit in loco del giugno 2017 e del marzo 2019, l’autorità di vigilanza ha constatato che:
- la società, per la conservazione dei dati personali degli inquilini, ha utilizzato un sistema di archiviazione che non prevedeva la possibilità di cancellare i dati che non erano più necessari,
- i dati personali degli inquilini sono stati conservati senza verificare se l’archiviazione fosse consentita o necessaria,
- in alcuni casi, i dati trattati, facenti riferimento agli inquilini, comprendevano dati particolari, come ad esempio dati sulla situazione personale e finanziaria, certificati salariali, moduli di auto divulgazione, estratti di contratti di lavoro e formazione, dati fiscali, previdenziali e di assicurazione sanitaria, nonché estratti conto.
Dopo che l’autorità Garante aveva consigliato di convertire il sistema di archiviazione, l’azienda è stata in grado di farlo nel marzo 2019, più di un anno e mezzo dopo la data del primo test e nove mesi dopo l’entrata in vigore del Regolamento generale sulla protezione dei dati.
Anche se la società aveva provveduto a migliorare le modalità di conservazione e cancellazione dei dati, l’autorità garante ha ritenuto che si fosse comunque in presenza di un trattamento non appropriato, violando quindi l’articolo 25, comma 1 GDPR e dell’articolo 5 GDPR per il periodo compreso tra Maggio 2018 e marzo 2019.
Ricordo che il regolamento generale prevede che le ammende siano effettive, proporzionate e dissuasive.
Il punto di partenza per la valutazione delle ammende è quindi, tra l’altro, la valutazione del giro d’affari nell’anno precedente ottenuto dalla società interessata. La Deutsche Wohnen SE ha registrato un fatturato annuo di oltre un miliardo per il 2018.
Per la determinazione specifica dell’importo della multa, il responsabile della protezione dei dati di Berlino è partito da questo giro d’affari ed ha applicato dei coefficienti variabili, in funzione del peso attribuito agli 11 criteri di valutazione, previsti dal regolamento europeo.
Ricordo che il provvedimento dell’autorità Garante può essere contestato in sede giudiziaria e l’azienda in questione si è rivolta alla magistratura giudicante, perché non riteneva appropriata la sanzione applicata.
La corte regionale di Berlino ha adesso dichiarato la sanzione non valida e ha chiuso il procedimento, addirittura annullando la sanzione stessa. I motivi dell’annullamento sono da ricondurre ad una analisi non sufficientemente approfondita degli 11 aspetti menzionati. In altre parole, l’importo della sanzione non era adeguatamente motivato.
Al proposito, merita di essere ricordato il fatto che è questa la seconda volta che la magistratura si esprime in esplicito contrasto con i provvedimenti emessi dalle autorità Garanti locali.
Nel novembre 2020, la corte regionale di Bonn ha ridotto una sanzione del 90%, affermando che erano stati commessi gravi errori nella valutazione della gravità della sanzione stessa.
La conclusione che si può trarre da quanto sopra esposto è che le autorità Garanti nazionali devono impegnarsi assai più a fondo nell’analisi delle violazioni, secondo lo schema proposto dal regolamento, per evitare che il loro impegno non sia all’altezza della credibilità delle motivazioni, che inducono ad applicare una sanzione.
D’altro canto, molte autorità Garanti hanno fatto presente che le risorse umane disponibili per effettuare queste valutazioni acribiche sono insufficienti ed hanno chiesto un significativo rinforzo degli organici, con tecnici specializzati, che non abbiano solo competenze legali, ma anche informatiche.